Google hôm thứ Năm đã thông báo rằng họ đang tìm kiếm những người đóng góp cho một sáng kiến nguồn mở mới có tên là Graph for Understanding Artifact Composition, còn được gọi là GUAC, như một phần trong nỗ lực không ngừng nhằm tăng cường chuỗi cung ứng phần mềm.
"GUAC giải quyết nhu cầu được tạo ra bởi những nỗ lực đang phát triển trên toàn hệ sinh thái để tạo ra siêu dữ liệu xây dựng, bảo mật và phụ thuộc phần mềm," Brandon Lum, Mihai Maruseac và Isaac Hepworth của Google cho biết trong một bài đăng được chia sẻ với The Hacker News.
"GUAC có nghĩa là dân chủ hóa tính khả dụng của thông tin bảo mật này bằng cách làm cho nó có thể truy cập tự do và hữu ích cho mọi tổ chức, không chỉ những tổ chức có bảo mật quy mô doanh nghiệp và tài trợ CNTT."
Chuỗi cung ứng phần mềm đã nổi lên một vectơ tấn công sinh lợi cho các tác nhân đe dọa, trong đó chỉ khai thác một điểm yếu - như đã thấy trong trường hợp của SolarWinds và Log4Shell - mở ra một con đường đủ dài để đi qua chuỗi cung ứng và đánh cắp dữ liệu nhạy cảm, phần mềm độc hại thực vật và kiểm soát các hệ thống thuộc về khách hàng hạ nguồn.
Google, năm ngoái, đã phát hành một khuôn khổ có tên SLSA (viết tắt của Supply chain Levels for Software Artifacts) nhằm đảm bảo tính toàn vẹn của các gói phần mềm và ngăn chặn các sửa đổi trái phép.
Nó cũng đã tung ra một phiên bản cập nhật của Thẻ điểm bảo mật, xác định rủi ro mà các phụ thuộc của bên thứ ba có thể gây ra cho một dự án, cho phép các nhà phát triển đưa ra quyết định sáng suốt về việc chấp nhận mã dễ bị tấn công hoặc xem xét các lựa chọn thay thế khác.
Tháng 8 vừa qua, Google đã giới thiệu thêm một chương trình tiền thưởng lỗi để xác định các lỗ hổng bảo mật trải dài trên một số dự án như Angular, Bazel, Golang, Protocol Buffers và Fuchsia.
GUAC là nỗ lực mới nhất của công ty nhằm củng cố sức khỏe của chuỗi cung ứng. Nó đạt được điều này bằng cách tổng hợp siêu dữ liệu bảo mật phần mềm từ sự kết hợp của các nguồn công cộng và tư nhân thành một "biểu đồ tri thức" có thể trả lời các câu hỏi về rủi ro chuỗi cung ứng.
Dữ liệu củng cố kiến trúc này được lấy từ Sigstore, GitHub, Lỗ hổng nguồn mở (OSV), Grype và Trivy, trong số những người khác, để rút ra các mối quan hệ có ý nghĩa giữa các lỗ hổng, dự án, tài nguyên, nhà phát triển, hiện vật và kho lưu trữ.
"Truy vấn biểu đồ này có thể thúc đẩy các kết quả tổ chức cấp cao hơn như kiểm toán, chính sách, quản lý rủi ro và thậm chí là hỗ trợ nhà phát triển", Google cho biết.
Nói cách khác, ý tưởng là kết nối các dấu chấm khác nhau giữa một dự án và nhà phát triển của nó, một lỗ hổng và phiên bản phần mềm tương ứng, và artifact và kho lưu trữ nguồn mà nó thuộc về.
Do đó, mục đích không chỉ cho phép các tổ chức xác định xem họ có bị ảnh hưởng bởi một lỗ hổng cụ thể hay không, mà còn ước tính bán kính vụ nổ nếu chuỗi cung ứng bị xâm phạm.
Điều đó nói rằng, Google dường như cũng nhận thức được các mối đe dọa tiềm ẩn có thể làm suy yếu GUAC, bao gồm các tình huống mà hệ thống bị lừa ăn thông tin giả mạo về các hiện vật và siêu dữ liệu của chúng, mà họ hy vọng sẽ giảm thiểu thông qua xác minh mật mã các tài liệu dữ liệu.
"[GUAC] nhằm mục đích đáp ứng trường hợp sử dụng là giám sát chuỗi cung ứng công cộng và các tài liệu bảo mật cũng như sử dụng nội bộ của các tổ chức để truy vấn thông tin về các hiện vật mà họ sử dụng," gã khổng lồ internet lưu ý.